Features des GKE-Sicherheitsstatus-Dashboards auf Flottenebene konfigurieren


Das GKE-Sicherheitsdashboard (Google Kubernetes Engine) bietet Ihnen zielgerichtete, umsetzbare Empfehlungen zur Verbesserung des Sicherheitsstatus Ihrer Cluster. Wenn Sie GKE Enterprise aktiviert haben, können Sie den Sicherheitsstatus als Flotten-Standardkonfiguration aktivieren. Auf dieser Seite erfahren Sie, wie Sie diese Flotten-Standardeinstellungen konfigurieren.

Sie können Standardeinstellungen auf Flottenebene für die folgenden Einstellungen für das Sicherheitsstatus-Dashboard erstellen:

  • Scan des Kubernetes-Sicherheitsstatus standard-Stufe: Prüfen Sie die Cluster und Arbeitslasten in Ihrer Flotte auf häufige Probleme mit der Sicherheitskonfiguration.
  • Scannen von Arbeitslasten auf Sicherheitslücken, verfügbar in den folgenden Stufen:
    • Scannen von Arbeitslastbetriebssystemen auf Sicherheitslücken (Stufe standard): Scannen Sie das Containerbetriebssystem auf bekannte Sicherheitslücken.
    • Erweiterte Informationen zu Sicherheitslücken (Stufe enterprise): Scannen Sie das Container-Betriebssystem und die Sprachpakete auf bekannte Sicherheitslücken.

Informationen zum Konfigurieren dieser Einstellungen für einzelne Cluster finden Sie in den folgenden Ressourcen:

Standardeinstellungen auf Flottenebene konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie die Features des Sicherheitsstatus-Dashboards als Standardeinstellungen auf Flottenebene konfigurieren. Für alle neuen Cluster, die Sie während der Clustererstellung bei einer Flotte registrieren, sind die angegebenen Sicherheitsstatus aktiviert. Die von Ihnen konfigurierten Standardeinstellungen auf Flottenebene haben Vorrang vor allen Standardeinstellungen für den GKE-Sicherheitsstatus. Die Standardeinstellungen für Ihre GKE-Version finden Sie in der Tabelle der clusterspezifischen Features.

Führen Sie die folgenden Schritte aus, um Standardeinstellungen auf Flottenebene für den Sicherheitsstatus zu konfigurieren:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Feature Manager auf.

    Zu Feature Manager

  2. Klicken Sie im Bereich Sicherheitsstatus auf Konfigurieren.

  3. Einstellungen auf Flottenebene überprüfen. Alle neuen Cluster, die Sie bei der Flotte registrieren, übernehmen diese Einstellungen.

  4. Optional: Klicken Sie zum Ändern der Standardeinstellungen auf Flotteneinstellungen anpassen. Führen Sie im angezeigten Dialogfeld Standardkonfiguration für Flotten anpassen die folgenden Schritte aus:

    1. Wählen Sie bei Konfigurationsprüfung aus, ob die Konfigurationsprüfung aktiviert oder deaktiviert werden soll.
    2. Wählen Sie unter Scannen auf Sicherheitslücken die gewünschte Stufe für Scannen auf Sicherheitslücken aus. Deaktiviert, Einfach oder Erweitert (empfohlen).
    3. Klicken Sie auf Speichern.

    Wenn Sie die Konfiguration auf Flottenebene für diese Features deaktivieren, werden Ihre aktuellen Arbeitslasten in vorhandenen Mitgliedsclustern weiterhin gescannt und Sie können die Sicherheitsbedenken im Sicherheitsstatus-Dashboard sehen. Neue Cluster, die Sie in dieser Flotte erstellen, werden jedoch nur gescannt, wenn Sie die Sicherheitsstatus-Features für sie einzeln aktivieren.

  5. Klicken Sie auf Konfigurieren, um die Einstellung auf neue Cluster anzuwenden.

  6. Klicken Sie im Dialogfeld zur Bestätigung auf Bestätigen.

  7. Optional: Synchronisieren Sie vorhandene Cluster mit den Standardeinstellungen.

    1. Wählen Sie in der Liste Cluster in der Flotte die Cluster aus, die Sie synchronisieren möchten.
    2. Klicken Sie auf Mit Flotteneinstellungen synchronisieren und im angezeigten Bestätigungsdialogfeld auf Bestätigen. Dies kann einige Minuten dauern.

gcloud

Sie benötigen die gcloud CLI-Version 455.0.0 oder höher.

Standardeinstellungen für eine neue Flotte konfigurieren

Sie können eine leere Flotte mit den Features des Sicherheitsstatus-Dashboards erstellen, die Sie aktivieren möchten.

  • Führen Sie den folgenden Befehl aus, um eine Flotte mit aktivierter Arbeitslastkonfigurationsprüfung zu erstellen:

    gcloud container fleet create --security-posture standard
    
  • Führen Sie den folgenden Befehl aus, um eine Flotte mit aktiviertem Scannen auf Sicherheitslücken zu erstellen:

    gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    Ersetzen Sie VULNERABILITY_SCANNING_TIER durch einen der folgenden Werte:

    • standard: Container-Betriebssystem auf bekannte Sicherheitslücken scannen.
    • enterprise: Container-Betriebssystem und die Sprachpakete auf bekannte Sicherheitslücken scannen.

Standardeinstellungen für eine vorhandene Flotte konfigurieren

  • Führen Sie den folgenden Befehl aus, um die Prüfung der Arbeitslastkonfiguration für eine vorhandene Flotte zu aktivieren:

    gcloud container fleet update --security-posture standard
    
  • Führen Sie den folgenden Befehl aus, um das Scannen von Arbeitslasten auf Sicherheitslücken in einer vorhandenen Flotte zu aktivieren:

    gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    Ersetzen Sie VULNERABILITY_SCANNING_TIER durch einen der folgenden Werte:

    • standard: Container-Betriebssystem auf bekannte Sicherheitslücken scannen.
    • enterprise: Container-Betriebssystem und die Sprachpakete auf bekannte Sicherheitslücken scannen.
  • So ändern Sie die Scanstufe für Arbeitslasten auf Sicherheitslücken in einer vorhandenen Flotte:

    1. Prüfen Sie die vorhandenen Dashboard-Einstellungen für den Sicherheitsstatus in einer Flotte:

      gcloud container fleet describe
      
    2. Verwenden Sie den update-Befehl wie oben beschrieben mit der Stufe für das Scannen von Arbeitslasten, zu der Sie wechseln möchten:

      gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
      

Sicherheitsstatus-Dashboard-Features auf Flottenebene deaktivieren

  • Führen Sie den folgenden Befehl aus, um die Prüfung der Arbeitslastkonfiguration zu deaktivieren:

    gcloud container fleet update --security-posture disabled
    
  • Führen Sie den folgenden Befehl aus, um das Scannen von Arbeitslasten auf Sicherheitslücken zu deaktivieren:

    gcloud container fleet update --workload-vulnerability-scanning disabled
    

Wenn Sie die Konfiguration auf Flottenebene für diese Features deaktivieren, werden Ihre aktuellen Arbeitslasten in vorhandenen Mitgliedsclustern weiterhin gescannt und Sie können die Sicherheitsbedenken im Sicherheitsstatus-Dashboard sehen. Neue Cluster, die Sie in dieser Flotte erstellen, werden jedoch nur gescannt, wenn Sie die Sicherheitsstatus-Features für sie einzeln aktivieren.

Nächste Schritte